Genel Veri Koruma Yönetmeliği (GDPR) Nedir?
Genel Veri Koruma Yönetmeliği (GDPR), Avrupa Birliği'nde (AB) yaşayan bireylerden kişisel bilgilerin toplanması ve işlenmesi için kılavuz ilkeler belirleyen yasal bir çerçevedir. Yönetmelik, web sitelerinin bulunduğu yere bakılmaksızın uygulandığından, AB sakinlerine mal veya hizmet pazarlamamış olsalar bile, Avrupalı ziyaretçileri çeken tüm siteler tarafından izlenmelidir.
GSYİH, AB ziyaretçilerine bir dizi veri açıklaması yapılmasını zorunlu kılmaktadır. Site ayrıca, kişisel verilerin ihlal edilmesi durumunda AB'nin tüketici haklarını zamanında bildirim olarak kolaylaştırmak için adımlar atmalıdır. Nisan 2016'da kabul edilen Yönetmelik, iki yıllık bir geçiş döneminden sonra Mayıs 2018'de tam olarak yürürlüğe girdi.
GDPR'nin Müşteri Hizmet Gereksinimleri
Kurallar uyarınca, ziyaretçiler bir Kabul Et düğmesine veya başka bir eyleme tıklayarak sitenin topladığı verilerden haberdar edilmeli ve bu bilgi toplama işlemine açıkça izin vermelidir. (Bu gereksinim, sitelerin "çerezler" topladığı, site ayarları ve tercihleri gibi kişisel bilgileri barındıran küçük dosyalar olduğu her yerde yapılan açıklamaları büyük ölçüde açıklar.)
Site tarafından tutulan kişisel verilerinden herhangi biri ihlal edilirse siteler de ziyaretçileri zamanında bilgilendirmelidir. Bu AB gereklilikleri, sitenin bulunduğu yargı alanında gerekenden daha katı olabilir.
Ayrıca, sitenin veri güvenliğinin ve özel bir veri koruma görevlisinin (DPO) işe alınması gerekip gerekmediği veya mevcut bir personelin bu işlevi yerine getirip getiremeyeceğinin bir değerlendirmesi zorunludur.
Ziyaretçilerin diğer önlemlerin yanı sıra sitedeki varlıklarını silme olanağını da içeren AB veri haklarını kullanabilmeleri için DPO ve diğer ilgili personelle nasıl temasa geçileceğine ilişkin bilgilere erişilebilir olmalıdır. (Doğal olarak, site bu tür talepleri yerine getirebilmek için personel ve diğer kaynakları da eklemelidir.)
Genel Veri Koruma Yönetmeliği'nin (GDPR) Diğer Kuralları ve Görevleri
Tüketiciler için daha fazla koruma olarak, GDPR aynı zamanda sitelerin anonimleştirilmesi (terimin ima ettiği gibi anonim hale getirilmesi) veya takma (tüketicinin kimliği bir takma adla değiştirilmesiyle) toplanması için kişisel olarak tanımlanabilir herhangi bir bilgi (PII) gerektirir. Verilerin takma adı, şirketlerin belirli bir bölgedeki müşterilerinin ortalama borç oranlarını değerlendirmek gibi daha kapsamlı bir veri analizi yapmasına olanak tanır - aksi takdirde bir kredi için kredi güvenilirliğini değerlendirmek için toplanan verilerin orijinal amaçlarının ötesinde bir hesaplama.
GSYİH, müşterilerden toplanan verileri aşmaktadır. En önemlisi, belki de düzenleme, insan kaynakları çalışanlarının kayıtları için geçerlidir.
GDPR ile İlişkili Tartışmalar
GSYİH bazı bölgelerde eleştiri çekti. Bazılarının DPO'ları atama veya sadece onlara olan ihtiyacı değerlendirme gereği, bazı şirketlere aşırı idari bir yük getireceğini söylüyor. Bazıları, kılavuzların çalışan verileriyle en iyi nasıl başa çıkılacağı konusunda çok belirsiz olduğundan şikayet ediyor.
Buna ek olarak, alıcı şirket AB'nin gerektirdiği derecede koruma sağlamayı garanti etmedikçe, veriler AB dışındaki başka bir ülkeye aktarılamaz. Bu, iş uygulamalarında maliyetli aksamalar ile ilgili şikayetlere yol açmıştır.
GDPR ile ilişkili maliyetlerin, kısmen de müşterileri ve çalışanları veri koruma tehditleri ve çözüm yolları konusunda eğitme ihtiyacı nedeniyle zamanla artacağına dair bir endişe daha var. AB ve ötesindeki veri koruma ajanslarının düzenlemelerin uygulanmasını ve yorumlanmasını ne kadar uyumlu hale getirebileceğine dair şüpheler de vardır ve bu nedenle GDPR'nin daha dolgun bir etkiye girdiği için düz bir oyun alanı sağlayın.